flu*_*ume 1 php forms security post
我目前正在编写一个使用表单和PHP $ _POST数据的Web应用程序(到目前为止标准!:)).但是,(这可能是一个noob查询)我刚刚意识到,理论上,如果有人在他们的计算机上用假表单放在一起的HTML文件,请将操作作为我网站上使用的脚本之一并使用自己的随机数据填充此表单,然后他们不能将此数据提交到表单中并导致问题吗?
我清理数据等所以我不是(太)担心XSS或注入式攻击,我只是不希望有人能够,例如,将无意义的东西添加到购物车等等.
现在,我意识到对于一些脚本我可以写保护,例如只允许将东西放入可以在数据库中找到的购物车,但是在某些情况下可能无法预测所有情况.
所以,我的问题是 - 是否有一种可靠的方法来确保我的PHP脚本只能由我网站上托管的表单调用?也许某些Http Referrer会检查脚本本身,但我听说这可能是不可靠的,或者可能是一些htaccess voodoo?看起来像是一个太大的安全漏洞(特别是对于像客户评论或任何客户输入这样的东西)才能保持开放状态.任何想法都将非常感激.:) 再次感谢!
| 归档时间: |
|
| 查看次数: |
1398 次 |
| 最近记录: |